权限判断和菜单读取

最新推荐文章于 2023-03-22 20:40:37 发布
原创 最新推荐文章于 2023-03-22 20:40:37 发布 · 564 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了如何在系统中实现权限判断和菜单读取。首先,通过登录成功将用户信息存入Session。接着,从数据库获取用户权限,并在PermissionRepository中增加相应方法。在PermissionServiceImpl中处理这些权限。然后,利用JpaRealm进行权限判断,区分普通请求和AJAX请求。此外,还创建了自定义过滤器并在shiro配置中定义过滤链。最后,详细讲述了菜单的加载过程,包括Menu菜单的定义、Permission的扩展以及MenuService的使用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

获取到所有权限进行判断

public class FilterChainDefinitionMapBuilder {

    @Autowired
    private IPermissionService permissionService;

    public Map<String,String> createFilterChainDefinitionMap(){
       …
        filterChainDefinitionMap.put("/logout","logout"); //不登录也可以访问
        //从数据库拿到数据,放到咱们的Map中
        //1.拿到所有权限
        List<Permission> permissions = permissionService.findAll();
        //2.遍历权限,拿到权限与资源
        for (Permission permission : permissions) {
            String url = permission.getUrl();//资源
            String sn = permission.getSn();//权限
            //把路径与资源放到拦截中去
            filterChainDefinitionMap.put(url,"perms["+sn+"]");
        }
        filterChainDefinitionMap.put("/**","authc");

        return  filterChainDefinitionMap;

    }
}

拿到登录用户

//完成登录的认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
    UsernamePasswordToken token = (UsernamePasswordToken)authenticationToken;
    String username = token.getUsername();
    Employee loginUser  = employeeService.findByUsername(username);
    if(loginUser==null){
        return null;
    }
    //拿到登录用户的密码
    String dbPassword = loginUser.getPassword();
    //设置加盐
    ByteSource salt = ByteSource.Util.bytes("itsource");
    SimpleAuthenticationInfo authorizationInfo = new SimpleAuthenticationInfo(loginUser,dbPassword,salt,getName());
    return authorizationInfo;
}

新建一个UserContext 类

public class UserContext {
    private static final String USER_IN_SESSION = "loginUser";
    /**
     * 把当前登录用户放入Session
     * @param loginUser
     */
    public static void setUser(Employee loginUser) {
        Subject subject = SecurityUtils.getSubject();
        subject.getSession().setAttribute(USER_IN_SESSION, loginUser);
    }
    /**
     * 从Session中获取User
     */
    public static Employee getUser() {
        Subject subject = SecurityUtils.getSubject();
        Employee curentUser = (Employee) subject.getSession().getAttribute(USER_IN_SESSION);
        return curentUser;
    }
}

.LoginController:登录成功后把用户放到Session中

@RequestMapping(value="/login",method = RequestMethod.POST)
    @ResponseBody
    public JsonResult login(String username, String password){
        //1.拿到访问的主体(当前登录用户)
        Subject subject = SecurityUtils.getSubject();
        //2.判断这个用户是否已经登录(通过验证)
        if(!subject.isAuthenticated()){.
        }
        //登录成功后,把当前登录用户放到session中
        //1.拿到当前登录用户(这个主体就是当前登录用户)
        Employee loginUser = (Employee) subject.getPrincipal();
        //2.当前登录用户放到session中
        UserContext.setUser(loginUser);
        return new JsonResult();
    }

根据用户id拿到权限
在PermissionRepository 添加一个方法

//根据当前登录用户拿到对应的权限
@Query("select distinct p.sn from Employee e join e.roles r join r.permissions p where e.id = ?1")
Set<String> findSnByEmp(Long employeeId);

IPermissionService

Set<String> findSnByEmp(Long employeeId);

PermissionServiceImpl

@Override
public Set<String> findSnByEmp(Long employeeId) {
    return permissionRepository.findSnByEmp(employeeId);
}

JpaRealm:进入权限判断

   @Override
    //授权验证  AuthorizationInfo:授权(是否有权限进入操作)
    // 我们只需要把相应的权限交给Shiro,它就会自动比对
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //当前用户的权限弄出来 --给shiro 让shiro 进行比较  做权限的操作
        //得到主体/用户
        Employee employee =(Employee)principalCollection.getPrimaryPrincipal();
        //根据用户 从数据库去拿到对应权限 加入到shiro里面
        Set<String> permissions = permissionService.findPermissionsByLoginUser(employee.getId());
        //查询数据库 jpql语句
        SimpleAuthorizationInfo simpleAuthorizationInfo  = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.addStringPermissions(permissions);

        //返回到shiro里面 就会进行权限的判断
        return simpleAuthorizationInfo;
    }

权限判断
一般请求和AJAX请求区分
Ajax请求多个一个请求头X-Requested-With XMLHttpRequest
自定义过滤器

package cn.itsource.aisell.shiro;

import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.StringUtils;
import org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter;
import org.apache.shiro.web.util.WebUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class AisellPermissionAuthorizationFilter extends PermissionsAuthorizationFilter {

    //怎么写
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {

        Subject subject = this.getSubject(request, response);
        if (subject.getPrincipal() == null) {
            this.saveRequestAndRedirectToLogin(request, response);
        } else {
            //如果拦截请求是ajax请求,返回json来处理 否者就返回页面
            //X-Requested-With
            HttpServletRequest req = (HttpServletRequest) request;
            HttpServletResponse resp = (HttpServletResponse)response;

            //获取请求头
            String header = req.getHeader("X-Requested-With");
            if("XMLHttpRequest".equals(header)){
                //返回json {"success":false,"msg":"没有权限"}
                resp.setContentType("text/json;charset=UTF-8");
                resp.getWriter().print("{\"success\":false,\"msg\":\"没有权限\"}");
            }else {
                //返回页面
                String unauthorizedUrl = this.getUnauthorizedUrl();
                if (StringUtils.hasText(unauthorizedUrl)) {
                    WebUtils.issueRedirect(request, response, unauthorizedUrl);
                } else {
                    WebUtils.toHttp(response).sendError(401);
                }
            }
        }

        return false;

    }
}

applicationContext-shiro.xml

		...
       <!--配置自定义权限过滤器-->
        <property name="filters" >
            <map>
                <entry key="aisellPerm" value-ref="aisellPermissionAuthorizationFilter"></entry>
            </map>
        </property>

    </bean>
    <bean id="aisellPermissionAuthorizationFilter" class="cn.itsource.aisell.shiro.AisellPermissionAuthorizationFilter"></bean>

FilterChainDefinitionMapBuilder

    @Autowired
    private IPermissionService permissionService;
    //得到Map
    public Map buildFilterChaiDefinitionMap(){
        /*按照 顺序放行 不能下载配置文件中,因为写死了,现在要动态获取后台数据库的
          /s/login.jsp=anon
          /login=anon
          /s/permission.jsp = perms[user:*]
          /**=authc
        */
        Map map = new LinkedHashMap();
        map.put("/login","anon");
        map.put("*.js","anon");
        map.put("*.css","anon");
        map.put("/css/**","anon");
        map.put("/js/**","anon");
        map.put("/easyui/**","anon");
        map.put("/images/**","anon");
        map.put("/s/login.jsp","anon");

        map.put("/s/permission.jsp","perms[user:*]");
        //1.拿到所有权限
        List<Permission> permissions = permissionService.findAll();
        //遍历所有 拿到权限和资源
        for (Permission permission : permissions) {
            //放到map里面
            String url = permission.getUrl();
            String sn = permission.getSn();
            map.put(url, "aisellPerm["+sn+":*]");
        }
        map.put("/**","authc");
        return map;
    }

菜单读取

Menu菜单

@Entity
@Table(name="menu")
public class Menu extends BaseDomain {

     private String name;//菜单名称
     private String url; //路径
     private String icon; //图标

    /**
     * JsonIgnore:生成JSON的时候忽略这个属性
     */
    @ManyToOne(fetch = FetchType.LAZY)
    @JoinColumn(name="parent_id")
    @JsonIgnore //这里生成json的时候要忽略,否则会造成功能相互调用
    private Menu parent;

    /**
     * 还要配置一个一对多
     *  这个字段不要交给JPA管理【到时候自己写代码管理】
     *  数据库的menu表中就应该有一个children,而且还是List类型
     *  Transient:临时属性(JPA不管这个属性,和数据库没有关系)
     */
    @Transient
    private List<Menu> children = new ArrayList<>();public String getText(){ //EasyUI的树需要一个text属性
      return name;
    }
}

Permission 添加一个

@ManyToOne(fetch = FetchType.LAZY)
@JoinColumn(name="menu_id")
private Menu menu;

.MenuService

@Override
public List<Menu> findByLoginUser(Long userId) {
    //准备父菜单容器
    List<Menu> parentMenus = new ArrayList<>();
    //从数据库中拿到子菜单
    List<Menu> childrenMenus = menuRepository.findByLoginUser(userId);
    //遍历子菜单(如果有父菜单放进入,没有单独创建)
    for (Menu childrenMenu : childrenMenus) {
        //拿到子菜单对应的父菜单
        Menu parent = childrenMenu.getParent();
        //判断如果父菜单中是否有这个菜单
        if(parentMenus.contains(parent)){
            //有的话,咱们就把子菜单放到父菜单中去
            int i = parentMenus.indexOf(parent);
            Menu parentMenu = parentMenus.get(i);
            parentMenu.getChildren().add(childrenMenu);
        }else{
            //如果没有,再单独把父菜单放进去
            parentMenus.add(parent);
            parent.getChildren().add(childrenMenu);
        }
    }
    return parentMenus;
}

UtilController

@RequestMapping("/loginUserMenus")
@ResponseBody
public List loginUserMenus(Long id){
    Employee loginUser = UserContext.getUser();
    return menuService.findByLoginUser(loginUser.getId());
}
二十四、根据权限动态获取菜单
荒的博客
10-17 520
在登陆过后,进入控制面板,左侧有菜单列表,根据不同的用户具有不同的角色,不同的角色有不同的许可(权限),看到的菜单列表就不同,所以在登陆的时候需要对此查询,存入session 控制器DispatcherController部分代码如下: @Controller public class DispatcherController { @Autowired private UserSer...
MenuRecognizer — 基于YOLOv8的菜单菜品自动识别系统
最新发布
如需修改或训练 Ultralytics YOLO 模型,请联系 Ultralytics 获取授权。
05-16 238
本项目结合YOLOv8最新模型,实现了菜单图片中菜品名称的自动识别,配套了简易的图形界面,提升了点餐体验。项目具有以下优势: 识别速度快,支持实时应用 模型泛化强,支持多种菜品菜单样式 界面友好,便于集成到实际餐饮系统
权限菜单
small__stones的博客
12-20 475
标题 1. 权限 1.1获取权限进行判断 filterChainDefinitionMap.put("/logout","logout"); //不登录也可以访问 //从数据库拿到数据,放到咱们的Map中 //1.拿到所有权限 List<Permission> permissions = permissionService.findAl...
数据库用户权限
experientialism
03-13 570
登录了数据库服务器,给登录名设置了特定数据库的用户映射(并给用户分配了合适的数据库角色),就可以通过:[数据库名].[架构名].[表名]来访问数据库中的表。
登陆权限设置 根据权限设置菜单
metjoyful的博客
10-11 324
1.在项目添加权限 shiro处理权限流程: ​ (1)把所有的权限交给shiro管理 --createFilterChainDefinitionMap 可以体现处理 ​ (2)在realm里面 就要查询当前用户的权限,如果这个权限在shiro管理返回之内,这个用户就有响应的权限 否则就没有 1.1 从数据库查询所有权限交个shiro管理 // 从数据库啊查询到所有的权限 交给shiro管...
利用ajax如何根据权限加载目录,AJAX调用框架,包含权限验证
weixin_32446549的博客
08-05 249
记得曾经使用ASP.NET AJAX的时候有个webmethod方法,可以在客户端直接调用aspx.cs里面的cs文件.非常方便,可惜要引用ScriptManager,今天咱自己实现一下,非常好用//////SummarydescriptionforAJAX///publicclassAJAX:IHttpHandler,IRequiresSessionState{static...
原创layui与thinkphp最细级别权限控制后台,通过读取代码注释来实现权限控制
11-15
钩子允许在特定的执行点插入自定义代码,我们可以创建一个权限检查的钩子,每当需要进行权限判断时,触发这个钩子,读取并解析代码注释,决定是否允许执行。 在提供的资源中,"auth"可能包含了权限相关的数据库表...
easyui后台管理系统(菜单权限,按钮权限
12-10
这个系统设计了完善的菜单按钮权限控制,为多用户环境提供了安全的访问策略。在该系统中,SpringMVC作为核心的控制层,负责处理HTTP请求并协调各个组件;Hibernate则作为持久化层,简化了与MySQL数据库的交互;而...
权限管理)根据登录用户角色权限获取对应菜单
qq_53303697的博客
03-22 648
角色分权
微信小程序:实现首页权限菜单效果
01-13
7. 在菜单页面的WXML文件中使用wx:if指令根据用户权限显示菜单项:在WXML文件中,使用wx:if指令判断当前用户是否有权限访问某个菜单项,如果有权限,则显示该菜单项。 通过以上步骤,就可以在微信小程序中实现多级...
laravel权限动态显示菜单以及按钮
瑾的日常
08-29 1015
一、修改增加节点信息 按照如下表进行添加 二、基础模型添加数组多层级 /** * 数组多层级 * @param array $data * @param int $pid * @param array */ public function subTree(array $data, int $pid = 0) { $arr = []; foreach ($data as $val) { ..
ajax实现用户权限管理,基于角色权限系统(第一节)-用户登录实现
weixin_30239977的博客
08-05 753
一、表的设计二、需求分析1、用户登录2、用户管理:用户角色动态分析3、角色管理:角色权限动态分析4、菜单管理三、数据表的设计1、用户、角色、权限菜单关系2、用户角色是一对多的关系3、角色权限菜单是多对多的关系t_user用户表CREATE TABLE `t_user` (`userId`int(11)NOTNULLAUTO_INCREMENTCOMMENT'用户id',`userN...
十四、根据权限定制菜单显示
qixiang_chen的博客
01-06 1963
Shiro根据权限过滤用户对系统模块URL的非法访问,系统主页面的功能菜单也需要根据不同权限显示不同的功能菜单,无权访问的功能模块,其对应的菜单就不需要显示系统主页面上,Shiro的权限授权菜单授权可以统一配置,但统一设计比较复杂,故分为两个模块完成。 菜单与功能表 gf_function 角色表 gf_role 菜单角色中间表 gf_menu2role 菜单与角色构成多对多关系 SQL ...
vue router根据权限菜单判断是否有权限访问
zhao949895887的专栏
05-14 998
根据用户登录后返回的菜单列表,判断页面是否有权限访问。 import Vue from 'vue' import Router from 'vue-router' import { Message } from 'element-ui' Vue.use(Router) function getMenu(id) { var list = JSON.parse(localStorage.getItem('menuList')) var isShow = false list.forEach((t
Vue权限控制
csdssdn的博客
08-08 8230
中我们可以根据后端返回的数据。
easyUI 权限管理之菜单管理
久如云漂泊
06-12 7123
这是/webView/systemMgr\roleMenu.html 菜单列表功能列表可以增删改。 菜单列表的增改页面。这是/webView/systemMgr/roleMenu_edit.html 功能列表的增改页面。/webView/systemMgr/rolePower_edit.html 先来/webView/systemMgr\roleMenu.html<body class="
基于Vue的前端权限管理
一缕青丝飞向远方的博客
12-20 1835
前端涉及到的权限管理部分
【工具篇】10分钟快速搭建React权限菜单设计
Mind_programmonkey的博客
10-13 3597
10分钟快速搭建React权限菜单设计 我又来了, react还剩下redux就结束了。就可以开展java、spring boot的学习流程了!!! 本次的功能实现基于上次的【工具篇】10分钟学会Ant Design of React用法,再次的基础上添加权限菜单设计,具体效果图如下: 1.创建角色 2.设置权限 3.用户授权 瓷们,走起学习了!!! 一、权限菜单设计基础概念 1.1 权限 “权”代表了“权利”,划分了系统的职权,不同的用户拥有不同的权利划分;“限”代表“限制”,在权利划分的基础
jeecg-boot首页剔除,根据路由第一项生成
牧xin的博客
12-08 4816
提前说明的是,我这里的目的是根据自己配置的菜单顺序,将获取到的菜单列表的第一项作为首页展示.
.NET菜单权限源码实现与学习指南
具体来说,这意味着源码中可能包含用户身份验证、角色管理、权限判断、动态菜单生成等关键功能,这些都是现代基于角色的访问控制(RBAC)系统中的常见功能。 从“压缩包子文件的文件名称列表”来看,我们可以推断出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值